Alfonso Maruccia

Office, vulnerabilità vecchia di 17 anni

I ricercatori scovano l'ennesimo bug nella suite per la produttività di Microsoft, una falla che Office si porta dietro da quasi due decadi e che potrebbe presto diventare un'autentica cyber-arma a disposizione delle peggiori intenzioni

Roma - Microsoft Office ha uno "scheletro nell'armadio" chiamato CVE-2017-11882, una vulnerabilità di sicurezza individuata da EMBEDI e potenzialmente in grado di trasformarsi in un vero e proprio flagello vista la sua capacità di persistere nel corso dei decenni. Già disponibile una patch, e mai come in questo caso l'aggiornamento è più che mai consigliato.

La nuova falla è stata scovata all'interno di Microsoft Equation Editor, un componente di Office (EQNEDT32.EXE) deputato all'integrazione delle equazioni matematiche all'interno dei documenti Office sotto forma di oggetti OLE dinamici.

EMBEDI ha scoperto che la versione di EQNEDT32.EXE usata da Microsoft è stata compilata il 9 novembre 2000, e ancora oggi continua a essere parte integrante delle ultimissime versioni di Office - anche nella sua declinazione "cloud" come servizio ad abbonamento nota come Office 365.
Office 2007 ha portato alla sostituzione del componente con uno più recente, ma la vecchia versione del file continua ad essere disponibile per ovvi motivi di compatibilità con i documenti degli utenti. Trattandosi di un eseguibile vecchio di 17 anni, Equation Editor è altrettanto ovviamente ripieno di vulnerabilità di sicurezza potenzialmente sfruttabili dai cyber-criminali e non usa le funzionalità di sicurezza disponibili sulle versioni più recenti di Windows.


I ricercatori di EMBEDI hanno quindi trovato il modo di sfruttare due errori nel codice per generare un errore di buffer overflow, eseguire una sequenza di comandi arbitrari e quindi potenzialmente scaricare un file malevolo da Internet mandandolo in esecuzione sul PC oramai compromesso.


Il proof-of-concept di EMBEDI funziona su tutte le versioni di Windows e Office commercializzate negli ultimi 17 anni, non fa differenze tra piattaforme a 32 o 64-bit e per di più non richiede alcun tipo di interazione da parte dell'utente finale. Tutte caratteristiche ideali, avvertono i ricercatori, per trasformare il problema in un'arma da usare in campagne APT contro soggetti sensibili e non solo.

A mitigare il problema è fortunatamente già arrivata una patch correttiva, distribuita assieme ai bollettini del nuovo martedì di Patch che a novembre corregge 53 vulnerabilità di sicurezza presenti nel codice di Office, di Windows, Internet Explorer, Edge,.NET, il layout engine Chackra e altro ancora.

Alfonso Maruccia

fonte immagine
Notizie collegate
  • AttualitàMicrosoft e le patch di settembreRedmond distribuisce la solita gragnola di aggiornamenti di sicurezza per Windows, Edge, IE e compagnia, update che a settembre riguardano alcune vulnerabilità 0-day molto pericolose. E una falla su Bluetooth già corretta a luglio
  • AttualitàMicrosoft Office, un attacco che non si può fermareUna nuova minaccia fa un uso illegittimo di una funzionalità legittima di Windows, un problema che secondo Microsoft non è un problema e che i cyber-criminali sono ben felici di sfruttare senza il disturbo di patch correttive
24 Commenti alla Notizia Office, vulnerabilità vecchia di 17 anni
Ordina
  • Da quel che dice altro sito di sicurezza, il problema in gran parte si risolve aggiungendo questa voce di regitro da Terminale:

    reg add “HKLM\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{0002CE02-0000-0000-C000-000000000046}” /v “Compatibility Flags” /t REG_DWORD /d 0x400

    Nel caso si utilizzi una versione di Office 32 bit su un sistema a 64 bit, il comando è invece questo:

    reg add “HKLM\SOFTWARE\Wow6432Node\Microsoft\Office\Common\COM Compatibility\{0002CE02-0000-0000-C000-000000000046}” /v “Compatibility Flags” /t REG_DWORD /d 0x400

    (ho verificato che il numero CVE-2017-11882 fosse lo stesso)

    Fonte:
    securityinfo
    non+autenticato
  • Strano perché nella CVE di Microsoft c'è chiaramente scritto che non esistono mitigations, va installata la patch...

    https://portal.msrc.microsoft.com/en-us/security-g...

    E comunque, come sempre, l'approccio "Least-Privilege" è quello che può salvare da vari problemi, dato che anche in questo caso "An attacker who successfully exploited the vulnerability could run arbitrary code in the context of the current user. If the current user is logged on with administrative user rights, an attacker could take control of the affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights. Users whose accounts are configured to have fewer user rights on the system could be less impacted than users who operate with administrative user rights."
    non+autenticato
  • solo come informazione, quelli dell'EMBEDI hanno aggiornato (solo sul sito, perchè nel pdf risulta ancora quella vecchia) la chiave di registro da dover creare/modificare per mitigare il problema, ora è più specifica rispetto alla versione di office installata sul sistema, bisognerà sostituire la parte di XX.X con il numero di versione di office, questa è una lista che ho trovato su internet:
    Office 2016: 16.0
    Office 2013: 15.0
    Office 2010: 14.0
    Office 2007: 12.0
    Se volete essere proprio sicuri potete seguire la guida di office per capire che versione state utilizzando https://support.office.com/it-it/article/Informazi...

    Ecco i comandi aggiornati:
    con office 64 bit su sistema 64 bit:
    reg add "HKLM\SOFTWARE\Microsoft\Office\XX.X\Common\COM Compatibility\{0002CE02-0000- 0000-C000-000000000046}" /v "Compatibility Flags" /t REG_DWORD /d 0x400

    con office 32 bit su sistema 64 bit:
    reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Office\XX.X\Common\COM Compatibility\{0002CE02-0000-0000-C000-000000000046}" /v "Compatibility Flags" /t REG_DWORD /d 0x400

    ciao!
    non+autenticato
  • Grazie ^_^
    non+autenticato
  • la cosa piu' buffa e' che questi tizi di EMBEDI hanno iniziato ad indagare su quella ciofeca, in seguito ad una verifica basata su un tool di M$ : binscope
    < BinScope is a Microsoft verification tool that analyzes binaries ...to ensure that they have been built in compliance with Microsoft’s Security Development Lifecycle (SDL) requirements ! >

    Bahaha maro' M$ non usa manco i suoi stessi tools
    non+autenticato
  • Ehi sono in gamba però:

    https://embedi.com/blog/skeleton-closet-ms-office-...

    Non è il solito BO !
    non+autenticato
  • - Scritto da: bubba
    > la cosa piu' buffa e' che questi tizi di EMBEDI
    > hanno iniziato ad indagare su quella ciofeca, in
    > seguito ad una verifica basata su un tool di M$ :
    > binscope
    > < BinScope is a Microsoft verification tool that
    > analyzes binaries ...to ensure that they have
    > been built in compliance with Microsoft’s
    > Security Development Lifecycle (SDL) requirements
    > !
    > >
    >
    > Bahaha maro' M$ non usa manco i suoi stessi tools

    ha ha ha e certo sanno che i loro tools sono di merda Rotola dal ridereRotola dal ridereRotola dal ridere
    non+autenticato
  • L'ho dovuto usare recentemente, ho avuto vari conati.
    non+autenticato
  • Per me la suite di office automation/PIM si chiama Emacs
    - in ledger le transazioni finanziarie, direttamente linkabili in ogni documento
    - in org-mode la gran parte delle informazioni scritte
    - un po' di LaTeX per lettere formali &c
    - org-show per le presentazioni, molto più comodo che fare slide
    - org-babel per varie attività dall'integrazione con vari DB alla mera automazione anche con dati da tabelle org
    - org-plot (gnuplot) per i grafici, TiKz per cose complicate
    - org-agenda per l'agenda/calendario
    - rolo per i contatti
    - notmuch per la posta e i feed
    - gnus per i gruppi
    - erc per le chat
    - deft per le note, integrate via counsel con Recoll (Xapian)
    Pesa un'epsilon di Office, LO, ... fa MOLTE più cose, con un livello di integrazione incomparabile, con una flessibilità incomparabile, il solo "costo" è il tempo minimo di apprendimento che non è cortissimo.

    A parte ciò tutte le suite di office automation tradizionali non possono essere che schifezze per il concetto che vogliono supportare ed il loro target di utenza. Se vuoi lavorare con un computer devi saper usare un computer, cercare di togliere questo "prerequisito" con GUI "facili" ottieni risultati scarsi, tanti problemi, poca flessibilità e generali difficoltà a far qualsiasi cosa.
    non+autenticato
  • > Per me la suite di office automation/PIM si chiama Emacs

    Io invece uso Linux. Occhiolino
    non+autenticato
  • Ehm, sai cos'è Emacs?
    non+autenticato
  • - Scritto da: xte
    > Ehm, sai cos'è Emacs?


    ha ha ha cazzo vuoi che ne sappia di emacs lui, lui e una testa di lucidemacs, sempre ubriaco di elisp Rotola dal ridereRotola dal ridereRotola dal ridere

    ha ha ha che testa lucida ematica Rotola dal ridereRotola dal ridereRotola dal ridere ha ha ha
    non+autenticato
  • Non conosco tutti queste applicazioni, sarebbe bello ci fosse una guida che spiega come integrare tutto questo!!!
    non+autenticato
  • - Scritto da: Chicken
    > Non conosco tutti queste applicazioni, sarebbe
    > bello ci fosse una guida che spiega come
    > integrare tutto
    > questo!!!

    C'e'.
  • Queste applicazioni sono parte di un "ecosistema": Emacs è formalmente un editor di testi ed una macchina virtuale che al posto ad es. del Java mangia l'elisp. Praticamente è un sistema operativo, senza kernel, la cui interfaccia si basa sul testo più che sul mouse o su soluzioni binarie. Gira su GNU/Linux, quasi tutti gli UNIX più diffusi, OSX, Windows ecc.

    Vedila come una versione limitata e moderna delle vecchie lisp machines: hai un'applicazione/framework/OS il cui codice è visibile, modificabile, studiabile (con documentazione live ecc) a runtime. Le applicazioni in oggetto sono "files lisp" aggiunti a runtime al programma principale.

    Per farti un'idea senza dialoghi sopra i massimi sistemi cerca su youtube
    "emacs org-show", "emacs org-ref", "emacs notmuch", "emacs literate devops", "emacs deft", "emacs reproducible research", "emacs org-mode latex", ... resterai stupito. Hai un sistema interamente text-based che ad oggi fa assai bene (con ev. utility esterne)
    - mail - notmuch è il mio favorito, altri famosi mu4e/wanderlust/mew
    - news - gnus
    - feed - elfeed o rss2email+notmuch
    - gestione pdf annotazioni&c incluse - pdf-tools
    - note - deft/org-mode
    - CAS (calcolo simbolico e numerico) - calc, imaxima, ...
    - esecuzione live di codice stile jupyter/mathematica on steroid (org-babel)
    - gestione finanze personali (ledger)
    - produzione documentale complessa/tipografica AucTeX&c
    - realizzazione diagrammi - da ditaa a TiKz passando per gnuplot
    - vari linguaggi di programmazione integrati
    - bookmark e gestione rubrica (org-mode, hyperbole, bbdb)
    - file manager (dired&c)
    - browser (anche WebKit, ma instabile, ewww testuale minimale ecc)

    Il fatto di essere testuale permette un'integrazione incredibile: puoi realizzare delle slides in un ambiente live dove i grafici (anche animati e interattivi) sono codice eseguito cliccandoci sopra o dando C-c C-c sopra un listato, dove puoi cambiare la UI cliccando su dei link, puoi linkare direttamente una mail in un documento e al click nella stessa "finestra" hai il tuo MUA con tutte le sue caratteristiche, puoi linkare una transazione bancaria che hai importato/registrato in un documento ecc. Tutto in puro testo davanti a te, esportabile in ogni momento in siti web statici, pdf di qualità tipografica, quel che vuoi. Qui non hai bisogno di API specifiche da usare, vai oltre le pipe&redirezione di UNIX, qui hai la "GUI" integrata e gestibile a runtime come vuoi.
    non+autenticato
  • - Scritto da: scoreggia micidiale
    > L'ho dovuto usare recentemente, ho avuto vari
    > conati.

    io invece vomito Rotola dal ridere ha ha ha Rotola dal ridere

    Biagio tanta tanta cacca ha ha ha mentre pinuccio diarrea a spruzzo Rotola dal ridere
    non+autenticato
  • "è stata compilata il 9 novembre 2000, e ancora oggi continua a essere parte integrante delle ultimissime versioni di Office"

    Compile once run foreverA bocca aperta
    non+autenticato
  • tirapiedi: "Signore, ce ne hanno beccata un'altra in Microsoft Office"
    capo: "dannazione, quale?!?"
    t: "un bug di classe K in Equation Editor"
    c: "un classe K? mmm, credevo peggio, ci e' andata ancora bene"
    t: "Signore, solita procedura?"
    c: "si, avverti i nostri in Microsoft di introdurre altre 4 falle K in un paio di librerie secondarie, e gia che ci sei, fanne aprire altre 3 di classe M nel kernel"
    t: "sissignore, subito Signore"
    c: "aspetta, gia che ci sei, senti la nostra talpa in quantcomm e fatti dire se la Direzione ha effettivamente implementato la backdoor hardware nei prossimi snapdragon come gli avevamo ordinato. Io invece mi occupo di strizzare ancora un po' le palle ai tipo di Apple per l'A11"
    non+autenticato
  • - Scritto da: ...
    > Io invece mi occupo di strizzare ancora
    > un po' le palle ai tipo di Apple per
    > l'A11"

    E credi di velocizzare le cose in quel modo?
    Minaccialo di fargli guardare il paginone centrale di playboy se vuoi che si sbrighi.
  • - Scritto da: panda rossa
    > - Scritto da: ...
    > > Io invece mi occupo di strizzare ancora
    > > un po' le palle ai tipo di Apple per
    > > l'A11"
    >
    > E credi di velocizzare le cose in quel modo?
    > Minaccialo di fargli guardare il paginone
    > centrale di playboy se vuoi che si
    > sbrighi.
    uahahaA bocca aperta panda panda sei una pesteA bocca aperta
    non+autenticato
  • !Il commento contiene una parola troppo lunga.
    uahahauahahauahahauahahauahahauahahauaha!
    non+autenticato
  • - Scritto da: panda rossa
    > - Scritto da: ...
    > > Io invece mi occupo di strizzare ancora
    > > un po' le palle ai tipo di Apple per
    > > l'A11"
    >
    > E credi di velocizzare le cose in quel modo?
    > Minaccialo di fargli guardare il paginone
    > centrale di playboy se vuoi che si
    > sbrighi.

    "strizzare le palle" in senso figurato per intendere "fare pressione psicologica". gia sragioni di tuo, ma quando c'e' i mezzo la "Mela" ti fa proprio il sangie agli occhi.
    non+autenticato
  • Non credo ci sia bisogno, nella sostanziale totalità dei software proprietari è quasi scontato vi siano vulnerabilità "personali", ti basta conoscerle ed usarle in tutto comodo...

    Del resto pensa all'allarmato articolo di epochtimes (goo.gl/vDz9qk) sulla sorveglianza cinese, poi pensa a Facebook: la gente oggi si autosorveglia da sola. Meglio di così che si può chiedere? L'innesto an^Wcerebrale permanente?
    non+autenticato
  • - Scritto da: xte
    L'innesto an^Wcerebrale
    > permanente?


    sta arrivando.. ha ha ha Rotola dal ridere Rotola dal ridere Rotola dal ridereIndiavolatoIndiavolatoIndiavolato
    non+autenticato